Логанализер - ово је веб апликација која је дизајнирана да прегледа записе системских догађаја примљених из сислог-а помоћу веб прегледача. Рсислог - ова апликација је проширење стандардног демона сислог, чија је једна од карактеристика могућност спремања догађаја у МиСКЛ бази података. Уз помоћ ова два дивна програма могуће је креирати централизовани сервер на коме ће се преусмеравати сви догађаји с различитих уређаја на мрежи који би имплементирали функције за погодно архивирање и тражење догађаја за све догађаје на свим мрежним уређајима у ободу мреже. У овом чланку ћу описати поступак инсталирања рсислог (прикупљање и обједињавање сислог догађаја) и ЛогАнализер (на Линук ЦентОС-у), који пружа корисничко сучеље за гледање и претраживање прикупљених записника).
Прво морате инсталирати бројне додатне РПМ пакете. Јер Услуге ЛогАнализер, Рсислог и МиСКЛ покренуће се на истом серверу, морате инсталирати следеће пакете користећи иум:
# иум инсталирај хттпд пхп мискл пхп-мискл мискл-сервер вгет рсислог рсислог-мискл
Сада морате бити сигурни да су МиСКЛ и Апацхе конфигурирани да се аутоматски покрену, а затим их покрените:
# цхкцонфиг мисклд на # цхкцонфиг хттпд на # сервису мисклд старт # услуга хттпд старт
По дефаулту, роот корисник МиСКЛ базе података има празну лозинку, тако да бисте требали осигурати конфигурацију постављањем нове лозинке:
# мискладмин - у роот лозинка НевПассворд
Затим увезите схему базе података рсислог у МиСКЛ. Зависно од верзије рсислог, промените путању до датотеке „цреатеДБ.скл“.
# мискл - у роот - п < /usr/share/doc/rsyslog-mysql-3.22.1/createDB.sql
Добра је пракса да ограничите приступ апликација бази података, тако да ћемо створити посебног корисника који ће приступити рсислог бази података. Да бисте додатно пооштрили безбедносна подешавања, можете да направите одвојене налоге за рсислог и ЛогАнализер. Морате да омогућите рсислог корисничком приступу МиСКЛ бази података само са лоцалхост лоцалхост интерфејса. Морамо такође извршити МиСКЛ наредбу „испирање привилегија“ да бисмо одмах примењивали сва права.
# мискл - у роот - п мискл мискл> ПОДЕЛИ СВЕ НА Сислог. * ТО рсислог @ лоцалхост ИДЕНТИФИКОВАНО ПО 'Пассворд'; мискл> флусх привилегији; мискл> излаз
Сада је време да пређемо на уређивање датотеке /етц/рсислог.цонф. Овде морамо конфигурирати просљеђивање сислог поруке у МиСКЛ базу података. Прва наредба учитава МиСКЛ погонитељ. У другом реду кажемо да је потребно прихватити записнике било ког нивоа важности од „аутхприв“, који укључују најважније поруке. Ако желите да сачувате све системске поруке у МиСКЛ-у, морате да одредите *. *. МиСКЛ сервер базе података слуша на адреси 127.0.0.1, Сислог је име МиСКЛ базе података, и на крају одредимо МиСКЛ име и лозинку корисника рсислог. Овде можете конфигурирати прикупљање и снимање било које поруке, свака комбинација мора бити одвојена ";" (нпр. маил. *; аутхприв. *: оммискл ...).
$ МодЛоад оммискл аутхприв. *: Оммискл: 127.0.0.1, Сислог, рсислог, Пассворд
Сада морате искључити постојећу сислог услугу и омогућити рсислог:
# цхкцонфиг сислог искључен # сервис сислог стоп # цхкцонфиг рсислог на # сервису рсислог старт
Време је за преузимање ЛогАнализер. Најновију верзију можете пронаћи овде: хттп://логанализер.адисцон.цом/довнлоадс.
Или преузмите ЛогАнализер директно са Линук сервера (вгет мора бити инсталиран):
# цд ~ # вгет хттп://довнлоад.адисцон.цом/логанализер/логанализер-3.0.0.тар.гз
Распакујте датотеке ЛогАнализер:
# тар зквф логанализер-3.0.0.тар.гз
Сада морате копирати датотеке ЛогАнализер у директориј веб сервера Апацхе (стандардна конфигурација).
# мв логанализер-3.0.0 / срц / вар / ввв / хтмл / логанализер # мв логанализер-3.0.0 / цонтриб / * / вар / ввв / хтмл / логанализер /
Идите у креирани директоријум ЛогАнализер, покрените цонфигуре.сх скрипту. Као резултат, створиће се празна конфигурациона датотека цонфиг.пхп, која ће бити попуњена у наредним корацима.
# цд / вар / ввв / хтмл / логанализер # цхмод у + к цонфигуре.сх сецуре.сх # ./цонфигуре.сх
За даљу конфигурацију ЛогАнализер потребан нам је веб претраживач. У свој омиљени Интернет претраживач откуцајте хттп: // веб1 / логанализер. (веб1 је назив нашег веб1 сервера, логанализер је директориј апацхе)
У средини прозора одаберите везу „Кликните овде да бисте је инсталирали“.
Следеће.
Конфигуришите опције приказа дневника и поново кликните на Даље.
Сада је потребно да одредите адресу сервера са базом података, корисничким именом и лозинком да бисте јој приступили (ако нисте заборавили базу података назива се рсислог). Кликом на дугме Даље видећете резултат провере исправности унесених података и исправне везе.
Коначно завршите.
У случају да сте исправно све конфигурисали, испред вас ће се појавити главна страница ЛогАнализер, на којој ће се записници приказивати како су примљени. Можете покушати да генеришете различите системске догађаје и видите шта ће се догодити на страници ЛогАнализер. Јер Постављао сам евиденцију догађаја типа "аутхприв", што значи да ће се догађаји попут корисничког уноса / излаза или наредбе корисничког преклопника (су) бележити.
Прилагодба Рсислог за даљинско прикупљање дневника
Следећи корак је конфигурисање услуге рсислог за прикупљање сислог догађаја са различитих мрежних уређаја. Прво морате да конфигуришете фиревалл иптаблес како би омогућио долазни промет кроз порт 514. Додаћу два правила која омогућавају и ТЦП и УДП саобраћај. Подразумевано, сислог прихвата само поруке послате на УДП порт 514, али могућност прихваћања ТЦП саобраћаја је додата у рсислог. Додајте следећа правила у датотеку „/ етц / сисцонфиг / иптаблес“:
-А РХ-фиревалл-1-ИНПУТ - п удп - м удп --портпорт 514 - ј АЦЦЕПТ
-А РХ-фиревалл-1-ИНПУТ - п тцп - м тцп --портпорт 514 - ј АЦЦЕПТ
Поново покрените иптаблес:
# сервис иптаблес поново покренути
Сада морате да конфигуришете рсислог за пријем долазних сислог порука. Конфигуришући ТЦП / УДП пријем порука од лоцалхоста и свих хостова на подмрежи 192.168.1.0. Следеће ретке треба додати у датотеку „/етц/рсислог.цонф“ (пре изградње, где је конфигурисана комуникација са МиСКЛ базом података).
$ АлловедСендер УДП, 127.0.0.1, 192.168.1.0/24
$ АлловедСендер ТЦП, 127.0.0.1, 192.168.1.0/24
Не заборавите да поново покренете рсислог услугу на централном серверу за пријављивање:
# сервис поновно покретање рсислог
Следећи корак је конфигурирање удаљених клијената за слање догађаја на централни рсислог сервер. Ако се рсислог покреће на клијенту, на пример, додајте следећу линију у датотеку „/етц/рсислог.цонф“:
аутхприв. * @ 192.168.10.100
Поново покрените рсислог сервер на клијенту и покушајте се пријавити / одјавити на овом систему. Ако ништа не пропустите, одговарајући догађај ће се појавити на веб страници ЛогАнализер!
Такође препоручујем да се упознате са чланком о организацији централног сервера дневника заснованом на Виндовс Сервер 2008